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Die folgenden Angaben sind den vom Anmelder eingereichten Unterlagen entnommen 

Prufungsantrag gem. § 44 PatG ist gestellt 

(g) Verfahren und Com putersy stem zur Codierung einer digitalen Nachricht, zur Ubertragung der Nachricht von 

einer ersten Computereinheit zu einer zweiten Computereinheit und zur Decodierung der Nachricht 
@ Es wird ein Verfahren vorgestellt, bei dem fur ein Netz- 
werkprotokoll, z. 8. fur das SNMPvl, wird in der ersten 
Computereinheit (CI) eine Nachricht unter Verwendung 
des Codierungsformats des NetzwerkprotokoHs zu einer 
codierten Nachricht (CN| codiert (101). Die codierte Nach- 
richt (CN) wird einem kryptographischen Verfahren unter- 
zogen (104). Die dadurch gebitdete kryptographisch bear- 
beitete Nachricht (KBN) wird wiederum unter Verwen- 
dung des Codierungsformats des NetzwerkprotokoHs co- 
diert (105), Die auf diese Weise codierte kr/ptographisch 
bearbeitete Nachricht (CKN) wird von der ersten Compu- 
tereinheit (CI) zu der zweiten Computereinheit (C2) uber- 
tragen. In der zweiten Computereinheit (C2) wird die emp- 
fangene Nachricht entsprechend dem Codierungsformat 
des NetzwerkprotokoHs decodiert (109) und es wird ein in- 
■ verses kryptographisches Verfahren (110) auf die deco- 
• dierte Nachricht (DKN) angewendet. Die invers kryptogra- 
phisch bearbeitete Nachricht (IKN) wird entsprechend 
dem Codierungsformat des NetzwerkprotokoHs wieder- 
um decodiert. 
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Beschreibung 
Technischer Hintergrund 

5 Es sind verschiedene NetzwerkprolokoUe im Bereich des Managements von Rechnemelzen bekannl. Die Aufgaben 
fur die Verwaltung von Rechnemelzen wirddurch die hohe Verbreitung von Computem und die immer komplexer wer- 
dende Vemetzung von Computem zunehmend schwieriger und die dafiir erforderlichen Systeme zum Netzmanagement 
werden immer machtiger. Im Rahmen der Verwaltung von Rechnemelzen gewinnt die Frage der Sicherheit des Nelzma- 
nagemenls immer groBere Bedeutung. Die Sicherheit des Nelzmanagemenls hangt sehr stark von den in dem System ver- 

10 wendelen Sicherheilstechniken ab. 

Aus dem Dokument (M. Rose, The Simple Book, PTR Prentice Hali, 2. Auflage, ISBN 0-13-177254-6, S. 59-91, 
1994) sind verschiedene Neizwerkprotokolle fur das Netzmanagement bekannt, beispielsweise das Simple-Network- 
Management-Protocol (SNMP) in der Version 1 (SNMPvl) und in der Version 2 (SNMPv2) oder auch das Common^Ma- 
nagement- Internet-Protocol (CMIP). 

15 Das SNMPv 1 hat bisher die weiteste Verbreitung zur Uberwachung und Konlrolle von Netzwerkkomponenten sowohl 
iiber lokale Rechnernetze (Local Area Networks, LANs), als auch bei globalen Netzen (Wide- Area-Networks, WANs). 

Das SNMPvl ist im Rahmen des OSI-Kommunikationsschichten-Systems oberhalb der Intemetprotokolle User-Da- 
tagram-Protocol (UDP) und Iniemet-Protocol (IP) angeordnet, Sowohl das UDP als auch das IP weisen erhebliche 
Schwachen im Bereich der Sicherheit auf, da Sicherheitsmechanismen in diesen Protokollen wenig bis gar nicht inle- 

20 grien sind, 

Im weiteren werden sowohl das SNMP als auch CMIP als Netzwerkprotokoll bezeichnet. 
^ Die NetzwerkprotokoUe werden zur Ubertragung von Rechnemetz-Management-Information zwischen einer ersten 
Computereinheit, die einen sog. Manager enthalt und mindestens einer zweiten Computereinheit, die einen sog. Agenten 
enthalt, verwendet. In einem komplexen Rechnemetz werden iiblicherweise mindestens eine Managementstation und 
25 eine beliebige Anzahl von von der Managerapphkation iiberwachten und kontrollierten Rechnem uber das Netzwerkpro- 
tokoll uberwacht bzw, gesteuert. 

Es sind jedoch ebenso Netzwerkmanagementarchitekturen bekannt, die mehrere Hierarchien aufweisen, beispiels- 
weise mehrere Computer die von jeweils einem Manager uberwacht werden, und mehrere Computer, die jeweils eine 
Managerapphkation enthalten, die wiederura von einem weiteren Computer, der eine iibergeordnete Managerapplikaiion 
30 enthalt, uberwacht bzw. kontroIHert werden. 

^ Ein Computer, der eine Managerapphkation des jeweihgen Netzwerkprotokoll s enthalt, wird im weiteren als erste 
Computereinheit bezeichnet. 

Jede Computereinheit, die einen Agenten implemeniiert hat, wird im weiteren als zweite Computereinheit bezeichnet. 

Es ist moghch, daB ein Computer sowohl als Manager als auch als Agent ausgestaltet ist, entsprechend sind die Funk- 
35 tionalitaten in dem Computer enthalten. 

Das jeweilige Netzwerkprotokoll kann in dem Computer sowohl in Hardware als auch in Software reahsiert sein. 

Im weiteren wird von einer einfachen Hierarchic ausgegangen, d. h. es wird nur der Fall beschrieben, bei dem ein er- 
ster Computer als Manager eine beliebige Anzahl von zweiten Computem, die Agenten, uberwacht, bzw. steuert. Dies 
dient jedoch ledighch der einfacheren Darstellung. Es ist ohne weiteres moghch, die Erfindung auch in einer Architeklur 
40 mit einer behebigen Anzahl von Hierarchieebenen anzuwenden. 

Bei den Netzwerkprotokollen wird von der ersten Computereinheit zu den zweiten Computereinheiten entweder eine 
Informationsabfrage uberlragen oder es wird ein Steuemngswert zur Steuerung bzw. Kontrolle der zweiten Computer- 
einheit iibertragen. 

In jeder zweiten Computereinheit ist es bei den bekannten Netzwerkprotokollen iiblich, daB die von der zweiten Com- 
45 putereinheit im Rahmen des Netzwerkprotokolls verwendete Information in Form einer sog. Management-Information- 
Base (MIB), die die Struktur einer hierarchischen Datenbank aufweist, speicherl. 

Die Gesamtstruktur der Managementinformation der NetzwerkprotokoUe wird in einem sog. globalen Registratur- 
Baum (Regislraion-Tree), beispielsweise dem globalen SNMP-Registration-Tree gespeicherl. Die MIB eines Agenten, 
also einer zweiten Computereinheit, ist ein Teil des Registratur-Baums des jeweiligen Netzwerkprotokolls. 
50 Zur Ubertragung von Information zwischen der ersten Computereinheit und der zweiten Computereinheit werden di- 
gitale Nachrichten, beispielsweise eine SNMPv 1-Nachricht verwendet. 

Erne SNMP\' 1-Nachricht enthalt eine Versionsnummer, einen sog. Community-Strinc und eine SNMPvl -Protocol- 
Data-Unit (PDU). 

Mit der Versionsnununer wird die Version des verwendeten Netzwerkprotokolls angegeben. Die Versionsnummer 
55 wird bei der Implementierung des jeweihgen Netzwerkprotokolls feslgelegt. 

Der Community-String bei der SNMPvl dient als Pass wort fur den Zugang zu einer MEB einer zweiten Computerein- 
heit. Der Community- String wird bei SNMPvl unverschliisselt zu dem Agenten gesendet. In dem Agenten, also der 
zweiten Computereinheit, wird uberprufi, ob der Community- String, der jeweils zusammen mil einer SNMPvl-Nach- 
richt empfangen wurde, zu einem Zugriff in der MIB der zweiten Computereinheit berechtigt. Da das Passwort bei 
SNMPvl unverschlusselt iibertragen wird, ist ein Mifibrauch des Community-Strings leicht moglich, beispielsweise zur 
Maskierung eines potentiellen Angreifers und zum ungefugten Zugriif auf eine zweite Computereinheit, da es sehr ein- 
fach ist fur einen potentiellen Angreifer, den Community-String zusammen mit einer IP-Senderadresse eines aulorisier- 
ten Benutzers abzuhoren. 

SNMPvl hat somit praktisch keinerlei wirkungsvoUe Sicherheitsmechanismen integriert, insbesondere keine wir- 
kungsvolle Authentifikation des SNMPvl -Managers und als Folge der fehlenden Authentifikation keine zuverlassige 
Zugriffskontrolle auf Seite des Agenten. Ferner enthalt SNMPvl keine MogHchkeit, Sicherheitsmechanismen der Daten- 
mtegntat oder der Datenvertrauhchkeit zum implementieren. Somit ist es fur einen potentiellen Angreifer ohne weiteres 
moghch, ubertragene SNMP-PDUs einfach abzuhoren und die iiberUagene Information zwischen Manager und Agent zu 
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Die Codierungsregeln der NelzwerkprotokoIIe sind delaillierl in (M. Rose, The Simple Bcx)k, PTR Prentice Hall, 2. 
Auflage, ISBN 0-13-177254-6, S. 59-91, 1994) beschrieben. 

Bei der rweilen Version des SNMP, dem SNMPv2 waren zwar verschiedene Sicherbeitsmechanismen vorgesehen, je- 
doch war insbesondere die Verwahung kryplographischer Schliissel derart aufwendig, daB diese Problemaiik dazu 5 
fiihrte, daB das SNMPv2 trolz erheblicher groBerer Moglichkeiten zur Verwaltung von Rechnemetzen verglichen mil 
ShfMPvl. sich gegeniiber dem SNMPvl nicht auf dem Markt durchsetzen konnie. Daher wurde der urspningiiche 
SNMPv2 Standard zuriickgezogen und durch einen modifizierlen Standard, bei dem keine Sicherheit integriert wurde, 
ersetzL 

Auch CMEP, das aufgmnd allgemein wesenllich groBerer Komplexilal verglichen mil SNMPvl und SNMPv2 kaum 10 
Berucksichtigung in Produkten gefunden hat, konnie sich auf dem Markt nichl durchsetzen. 

Femer isl das Konzept von sog. Proxy- Agenten ebenfalls in dem Dokument (M. Rose, The Simple Book, PTR Pren- 
tice Hall, 2, Auflage, ISBN 0-13-177254-6, S. 315. 1994) beschrieben. 

Kurzbeschreibung der Erfindung 15 

Somil liegt der Erfindung das Problem zugrunde, Verfahren sowie eine Computersysteme zur Codierung, Ubertragung 
und Decodierung einer digilalen Nachricht anzugeben, bei der kryplographische Sicherbeitsmechanismen vorgesehen 
sind, die einfacher sind als bei den bekannten Verfahren und Anordnungen. 

Bei dem Verfahren gemaB Patentanspruch 1 wird eine digitale Nachricht, die von der ersten Computereinheit zu der 20 
zweiien Computereinheit ubertragen werden soli, unler Verwendung eines Codierung sformats eines NetzwerkprotokoUs 
zu einer codierten Nachricht codiert. Die codierte Nachricht wird mindestens einem kryptographischen Verfahren unler- 
zogen und die kryptographisch bearbeitele codierte Nachricht wird wiederum unter Verwendung des Codierungsformats 
des NetzwerkprotokoUs codiert. 

Bei dem Verfahren gemaB Patentanspruch 2 wird die Nachricht entsprechend dem Codierungsformai des Netzwerk- 25 
protokolls decodiert. Femer wird die decodierle kryptographisch bearbeitete Nachricht einem zu dem mindestens einen 
kryptographischen Verfahren inversen kryptographischen Verfahren unterzogen und die invers kryptographisch bearbei- 
tete Nachricht entsprechend dem Codierungsformai des Nelzwerkprolokolls decodiert. 

Bei dem Verfahren gemaB Patentanspruch 3 wird eine digitale Nachricht, die von der ersten Computereinheit zu der 
zweiien Computereinheit iiberu^gen werden soli, unter Verwendung eines Codierungsformats eines NetzwerkprotokoUs 30 
zu einer codierten Nachricht codiert. Die codierte Nachricht wird mindestens einem kryptographischen Verfahren unter- 
zogen und die kryptographisch bearbeitete codierte Nachricht wird wiederum unter Verwendung des Codierungsformats 
des NetzwerkprotokoUs codiert. Nach erfolgter Codierung wird die gesamte Nachricht von der ersten Computereinheit 
mindestens zur zweiien Computereinheit ubertragen. Die empfangene Nachricht wird in der zweiien Computereinheit 
entsprechend dem Codierungsformai des NetzwerkprotokoUs decodiert. AnschlieBend wird die decodierte Nachricht 35 
dem zu dem verwendeten kryptographischen Verfahren inversen kryptographischen Verfahren unterzogen. In einem letz- 
ten Schritt wird die invers kryptographisch bearbeitele Nachricht entsprechend dem Codierungsformai des Netzwerkpro- 
tokoUs decodiert. 

Durch die "doppelie" Codierung bzw. Decodierung mit dem jeweiligen NetzwerkprotokoU wird eine sehr einfache, 
standardkon forme Losung vorgeschlagen, die Ubertragung von Nachrichten eines NetzwerkprotokoUs kryptographisch 40 
abzusichem. 

Das Verfahren weist femer den erheblichen Vorteil der einfachen Realisierbarkeit und somil der schneUen Durchfuhr- 
barkeit mil Hilfe eines Rechners auf, 

Ein weilerer Vorteil isl darin zu sehen, daB die NetzwerkprotokoUe unverandert bleiben konnen und keine neuen Netz- 
werkprotokoUe definiert werden miissen. Somit isl keine aufwendige VersionsumsleUung oder gar Neudefinition von 45 
NetzwerkprotokoUen erforderlich. Die kryplographische Sicherheit des jeweiligen NetzwerkprotokoUs kann ohne gro- 
Beren Auf wand erheblich erhohl werden. 

Das Computersyslem gemaB Paten lanspmch 12 enthalt mindestens eine Recheneinheit, die derart eingerichlet ist, daB 
das Verfahren nach einem der Anspriiche 1 bis 11 durchgefiihrt wird. 

Das Computersyslem gemaB Patentanspruch 13 zur Codierung einer digitalen Nachricht unler Verwendung eines Co- 50 
dierungsformats eines NetzwerkprotokoUs, umfaBt mindestens folgende Komponenten: 

- ein erstes Miltel zur Codierung der digilalen Nachricht unter Verwendung des Codierungsformats des Netzwerk- 
protokoUs zu einer codierten Nachricht, 

- ein zweiies Miltel zur kryptographischen Bearbeitung der codierten Nachricht, 55 

- ein drittes Miltel zur Codiemng der kryptographisch bearbeiteten Nachricht unter Verwendung des Codierungs- 
formats des NetzwerkprotokoUs. 

Das Compulersystem gemaB Patentanspruch 14 zur Decodierung einer digitalen Nachricht, welches in einem Codie- 
rungsfonnat eines Nelzwerkprolokolls voriiegt, umfaBt mindestens folgende Komponenten: 60 

- ein fiinftes Mittel zum Empfangen der codienen kryptographisch bearbeiteten Nachricht von der ersten Compu- 
tereinheit, 

- ein sechsles Miltel zur Decodiemng der empfangenen Nachricht entsprechend dem Codierungsformai des Netz- 
werkprotokoUs, 65 

- ein siebles Mittel zur inversen kryptographischen Bearbeitung der decodierten kryptographisch bearbeiteten 
Nachricht, und 

- ein achles Mittel zur Decodierung der invers kryptographisch bearbeiteten Nachricht entsprechend dem Codie- 
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rungsformat des Net^Wlcprotokolls. 

. Das Computersystem gemafi Paientanspmch 15 zur Codierung einer digitalen Nachrichl, zur Ubertragung der Nach- 
nchl von emer ersten Compulereinheit zu einer zweiien Compulereinheit und zur Decodiemng der Nachrichl enlhalt 
mmdestens folgende Komponenlen, 

- eine ersie Computereinheil, die mindestens folgende Komponenlen umfaBl: 

- ein erstes Mitlel zur Codierung der digilalen Nachrichl unter Ve^^^'endung eines Codierungsformals eines 
NelzwerkprotokoUs zu einer codierlen Nachrichl, 

- ein zweites Mitlel zur kryptographischen Bearbeiiung der codierlen Nachrichl, 

- ein driltes Mittel zur Codierung der kryplographisch bearbeiteten Nachrichl unler Verwendung des Codie- 
rungsformals des Netzwerkprolokolls, 

- ein viertes Miltel zum Senden der codierlen kryplographisch bearbeiteten Nachrichl von der erslen Compu- 
leremheil zu der zweilen Compulereinheit, 

- eine zweite Computereinheil, die mindestens folgende Komponenlen umfaBl: 

- ein fiinfles Mitlel zum Empfangen der codierlen kryplographisch bearbeiteten Nachrichl von der erslen 
Compulereinheil, 

- ein sechstes Miltel zur Decodierung der empfangenen Nachrichl enlsprechend dem Codierungsformat des 
Netzwerkprolokolls, 

- ein siebtes Miltel zur inversen kryptographischen Bearbeiiung der decodierlen kryplographisch bearbeilelen 
Nachnchl, und 

- ein achles Mitlel zur Decodierung der invers kryplographisch bearbeiteten Nachrichl enlsprechend dem Co- 
die rungsformat des Netzwerkprolokolls. 

Somit weisen die Computersysleme die oben im Zusammenhang mil dem Verfahren beschriebenen Vorteile ebenfalls 
aui. 

Vorleilhafle Weilerbildungen der Erfindung ergeben sich aus den abhangigen Anspriichen 

c^x^^^''".'^f^ V"^^'*^^^ ''^ "^^^ Verfahren im Zusammenhang mil SNMPvl als Nelzwerkprotokoll anwendbar, da fiir 
i>NMPvl bisherpraklisch keine kryplographische Sicherheit vorhanden isl. 

Doch auch bei den anderen Netzwerkprolokollen kann dieses Verfahren und die entsprechende Anordnung zur Durch- 
fuhrung d^ Verfahrens verwendel werden, da auch dort die Gesamtkomplexilat des jeweiligen Netzwerkprolokolls er- 
hebhch reduziert wird, o 

Femer ist es bei dem Compulersystem vorteilhaft, ein zweites Mitlel zur kryptographischen Bearbeiiung der codierten 
Nachnchl, em dnttes Mittel zur Codierung der kryplographisch bearbeiteten Nachrichl unler Verwendung des Codie- 
rungsformals des Netzwerkprolokolls sowie ein viertes Mitlel zum Senden der codierten kryplographisch bearbeiteten 
Nachnchl zu der zweiten Computereinheil als einen sog. Proxy-Agenlen auszugesialten, der uber eine als gesichert an- 
genommene Kommunikationsverbindung zu dem ersten Mitlel zur Codienmg der digilalen Nachrichl unter Vferwendung 
des Netzwerkprolokolls veri^unden ist. Der erste Proxy- Agent und die ersle Computereinheil konnen geraeinsam in einer 
Compulereinheit oder auch in zwei unterschiedlichen Compulereinheiten realisiert sein 

Auf diese Weise wird unler Verwendung der Proxy-Technik, die aus dem Dokument (M. Rose, The Simple Book PTR 
Prentice Hall. 2 Auflage, ISBN 0-13-177254-6, S. 315, 1994) bekannl ist, die Realisierung eines Computersystems zur 
tcryplographisch sicheren Ubertragung von Nachrichten des Codierungsfonnats eines NelzwerkprotokoUs erreicht 

Dieser Vorleii isl ebenso dann gegeben, wenn ein funftes Miltel zum Empfang der codierten kryplographisch bearbei- 
teteu Nachnchl, em sechstes Mitlel zur Decodiemng der empfangenen Nachrichl enlsprechend dem Codierungsformat 
des Netzwerkprolokolls sowie ein siebtes Mittel zur inversen kryptographischen Bearbeiiung der decodierten kryplogra- 
phisch bearbeiteten Nachnchl zusammen in einem zweilen Proxy-Agenlen realisiert sind, der uber eine als gesichert an- 
genommene Kommunikationsverbindung mil dem Agenlen der zweiten Compulereinheit unter \ferwendune des Netz- 
werkprolokolls verbunden ist. 

Kurzbeschreibung der Figuren 

In den Figur isl ein Ausfiihrungsbeispiel der Erfindung dai^geslellt, die im weileren naher eriautert wird 
Es zeigen 

Fig. 1 ein Ablaufdiagramm, in dem das erfindungsgemaBe Verfahren mit Reahsierungsdelails fiir einen Get-Request 
dargeslellt ist; ' 

Fig. 2 ein Ablaufdiagramm, in dem das Verfahren in seinen Verfahrensschritlen mil Realisierunesdetails fiir einen Set- 
Request dargeslellt ist; 

Fig. 3 ein Ablaufdiagramm, in dem das Verfahren in abstrakter Form dargeslellt ist; 

Fig. 4 eine Skizze eines moglichen Aufbaus einer kryplographisch bearbeiteten SNMPvl -Nachrichl, in der der Sicher- 
heilsmechanismus der Authentifikation der Originaldaten realisiert wird; 

Fig. 5 der Aufbau einer moghchen kryplographisch bearbeilelen SNMPvl -Nachrichl, mil der die Sicherheitsdiensle 
Integntat und Vertraulichkeit der iibertragenen SNMPvl-Nachricht realisiert wird; 

Fig, 6 der moghche Aufbau einer kryplographisch bearbeiteten SNMPvl-Nachricht, in der der Sicherheilsdienst der 
Vertrauhchkeii der SNMPvl-Nachricht realisiert wird; 
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Figurenbeschreibung 
Gel-Request 

In Fig. 1 sind eine erste Computereinheii CI und eine zweile Computereinheil C2 symbolhaft dargesiellt. Die erste 5 
Compulereinheit CI weisl eine Managerapplikalion MA des SNMPvl sowie einen erslen Proxy-Agenten PAl auf. 

Die zweile Computereinheil C2 weisl einen SNMPvl -Agenten AG sowie einen zweiten Proxy-Agenten PA2 auf Sei- 
ten der zweiien Computereinheil C2 auf. 

In einem erslen Schrill 101 wird in der erslen Computereinheil CI ein Get-Request gebildel. Unter der Bildung eines 
Get-Requests ist zu verslehen, daB eine digilale Nachrichl unler Verwendung eines Codierungsformals des SNMPvl- 10 
NetzwerkprolokoUs zu einer codierten Nachricht, dem Get-Requesl, codierl wird. Dies erfolgl in einem ersten Mittel 101 
der ersten Computereinheil CI zur Codierung der digilalen Nachricht unler Verwendung des Codierungsformals des 
NetzwerkprolokoUs. 

In einem zweiten Schrill 102 wird der Gel- Request, d. h. die codierte Nachrichl CN von dem ersten Mittel Ml zu dem 
ersten Proxy-Agenlen PAl auf der Seite der ersten Computereinheil CI gesendet. 15 

In dem erslen Proxy-Agenten PAl wird in einem drillen Schrill 103 die codierte Nachricht CN empfangen. 

In einem vierten Schrill 104 wird die codierte Nachrichl CN in dem ersten Proxy-Agenten PAl mindestens einem 
kryptographischen Verfahren unlerzogen. Zur kryptographischen Bearbeitung der codierten Nachricht in dem vierten 
Schrill 104 wird ein zweiles Mittel 104 eingeselzt. 

Unter einem kryptographischen Verfahren ist jedes beUebige kryptographische Verfahren z. B. zur Authentifikation, 20 
zur Sicherung der Daleninlegrital oder auch zur Verschlusselung von digilalen Dalen zu verstehen. Hierbei konnen bei- 
spielsweise das RSA- Verfahren oder auch der Dala-Encryption-Standard, der als DES-Verfahren bezeichnel wird, Ver- 
wendung finden. 

Als Ergebnis erhalt man eine kryplographisch bearbeitete Nachricht KEN, deren Formal beispielsweise in den Fig. 3 
bis 6 dargestelll ist und im weiteren naher erlauterl wird. 25 

In einem funflen Schritt 105 wird die kryplographisch bearbeitete Nachricht KBN wiederum unter Verwendung des 
Codierungsformals des SNMP-Neizwerkprotokolis codiert. Unler diesem Verfahrensschriit ist zu ver^lehen, daB der 
kryplographisch bearbeitete Gel-Request vorzugsweise in einem Set-Request codiert wird, d. h. eingekapselt wird. Fer- 
ner ist ein driites Mittel 105 zur Codierung der kryplographisch bearbeiteten Nachricht unter Verwendung des Codie- 
rungsformals des Netzwerkprotokolls vorgesehen. 30 

Wie im weiteren deutlich wird, ist es vorteilhaft, jede Art von Nachricht, die von der ersten Computereinheil CI zu der 
zweiien Computereinheil C2 iibertragen werden soil, in dem fiinften Schritt 105 als Set-Request zu codieren. Dies ist 
vorteilhaft, da die Syntax von SNMPvl fur einen Get-Requesl lediglich Objecl-Indentifiers als zu ubertragende Nutzda- 
ten erlaubt. Es ist bei SNMPvl nicht moglich, die kryplographisch bearbeitete Information in einem SNMP-Get-Request 
einzubinden. 35 

In einem sechsten Schritt 106 wird der Set-Request als codierte kryplographisch bearbeitete Nachricht CKN von der 
ersten Computereinheil CI zu der zweiten Computereinheil C2, d. h. von dem erslen Proxy-Agenlen PAl zu einem zwei- 
ten Proxy-Agenten PA2 iibertragen. 

Von dem zweiien Proxy-Agenten PA2 der zweiten Computereinheil C2 wird die codierte kryplographisch bearbeitete 
Nachricht CKN in einem sieblen Schrill 107 empfangen. Hierzu ist ein funfies Mittel 107 zum Empfangen der codierten 40 
kryplographisch bearbeiteten Nachrichl CKN vorgesehen. 

In einem achten Schritt 108 wird von dera zweiien Proxy-Agenten PA2 standardkonform eine Get-Response als Ant- 
wort auf den Set-Request an den ersten Proxy-Agenlen PAl der erslen Compulereinheit CI gesendet. Der Get-Response 
enthall als Beslatigung den jeweiligen Fehlerzustand. 

In einem neunten Schritt 109 wird die empfangene codierte kryplographisch bearbeitete Nachricht CKN unter Ver- 45 
wendung des Codierungsformals des NetzwerkprolokoUs enlkapselt, d. h. decodiert. Es ist ein sechstes Mittel 109 zur 
Decodierung der empfangenen Nachricht entsprechend dem Codierungsformat des SNMPvl -ProtokoUs vorgesehen. 

In einem zehnten Schritt 110 wird von dem zweiten Proxy-Agenlen PA2 das zu dem jeweils vorgesehenen kryptogra- 
phischen Verfahren inverse kryptographische Verfahren beispielsweise zur Authentifikation, zur Entschliisselung bzw. 
zur Sicherung der Integritat der ubertragenen Dalen auf die decodierte kryplographisch bearbeitete Nachrichl DKN an- 50 
gewendet. Hierzu ist ein siebles Mittel 110 zur inversen kryptographischen Bearbeitung der decodierten kryplographisch 
bearbeiteten Nachricht DKN vorgesehen. 

Weilerhin wird die invers kryplographisch bearbeitete Nachricht IKN, d. h, der originale Get-Request, von dem zwei- 
ten Proxy-Agenten PA2 zu der Agenlenapplikalion AG der zweiten Computereinheil C2 gesendet. 

In einem elfien Schrill 111 wird der Gel- Request von dem Agenten AG empfangen. Hierzu ist ein achtes Mittel 111 55 
Empfangen des Gel-Requests vorgesehen. 

In einem weiteren Schritt 112 wird die invers kryplographisch bearbeitete Nachrichl entsprechend dem Codierungs- 
format des SNMPvl -ProtokoUs zu der digilalen Nachricht decodiert, d. h. ausgewerlet. Dies bedeutei, daB fur den Spe- 
zialfall des Get-Requests die iiber den Get-Request angeforderte Information eines Wens eines sog. Managed Objects 
(MO), der in der MIB des Agenten AG gespeichert ist, ausgelesen wird. Die Angabe, welche Information tatsachlich an- GO 
gefordert wird, ist als Object-Identifier in dem urspriinglichen Gel-Request enlhallen. 

Es wird also in dem zwolften Schritt 112 die angeforderte Aklion ausgefiihrt, in diesem Fall das Auslesen der angefor- 
denen Information, einen Wert eines Managed Objects. Hierzu ist ein neunles Mittel 112 zur Durchfuhrung der angefor- 
derien Aktion vorgesehen. 

Wie es in SNMPvl vorgesehen ist, wird von dem Agenten AG in der zweiien Compulereinheit als Ant wort auf einen 65 
Gel- Request ein Gel-Response gebildet und in einem dreizehnten Schrill 113 zu dem zweiten Proxy-Agenten PA2 gesen- 
det. Der Gel- Response erhalt das Ergebnis der Aklion, die von der erslen Computereinheil CI in dem Get-Request ange- 
fordert wurde. 
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Der Gel-Response wird^^reiteren als Anlwortnachricht AN bezeichnel. :MRtitwortnachricht AN kann entweder 
direki zu der ersten Computereinheit CI ubertragen warden oder, zur weileren Erhohung der kryptographischen Sicher- 
heii, enlsprechend dem Codierungs formal des Netzwerkprolokolls noch einnial codiert werden. Es ist in der zweilen 
Compulereinheil C2 ein zehnles Mittel 112 zum Senden des Ergebnisses der Aklion zu der erslen Computereinheit CI 
5 vorgesehen. 

Weiterhin isl ein elfles Mittel 113 zur Bildung der Anlwortnachricht AN voi^esehen, die das &gebnis der Aktion ent- 
halt und zur Codierung der Anlwortnachricht AN enlsprechend dem Codierungsformat des SNMPvl-Protokolls. 

In einem vierzehnlen Verfahrensschrill 114 wird von dem zweilen Proxy-Agenten PA2 die Anlwortnachricht AN emp- 
fangen. Hierzu ist ein zwolfles Mittel 114 zum Enipfangen der Anlwortnachricht AN vorgesehen. 
10 In einem fiinfzehnlen Schriti 115 wird die codierte Anlwortnachricht AN raindestens einem kryptographischen Ver- 
fahren unterzogen. Hierfur ist ein dreizehntes Mittel 115 zur Bearbeitung der Anlwortnachricht AN mil mindestens ei- 
nem kryptographischen Verfahren vorgesehen. Das Ergebnis dieses Verfahrensschrill s ist eine in einem Sicherheilsrah- 
men eingekapselie Gel-Response. 

Die kryplographisch bearbeitete Anlwortnachricht KB AN wird in einer Sicherheits-MIB in dem zweiten Proxy-Agen- 
15 ten PA2 gespeichert (Schriti 116). Der Aufbau der Sicherheits-MIB wird im weiteren delaillierl beschrieben. 

Urn die kryplographisch bearbeitete Anlwortnachricht KB AN zu erlangen, wird von dem ersten Proxy-Agenten PAl 
der erslen Computereinheit CI ein Get-Request, d. h. eine Abrufnachricht ABN gebildet. Hierfur ist ein vierzehntes Mit- 
tel 117 zur Bildung und Codierung der Abrufnachricht ABN enlsprechend dem Codierungsformat des SNMPvl-Proto- 
kolls vorgesehen, mil der die kryplographisch bearbeitete Anlwortnachricht KB AN von der zweiten Computereinheit C2 
20 angeforderl wird. Ferner wird die codierte Abrufnachricht ABN von der ersten Computereinheit CI zu der zweiten Com- 
putereinheit C2 gesendet. 

In einem achtzehnlen Schriti 118 wird in dem zweiten Proxy-Agenten PA2 die Abnifnachricht ABN, d. h. in diesem 
Fall der Get-Request, empfangcn und standardkonform der ubliche Get-Response, der in diesem Fall die kryplogra- 
phisch bearbeitete Anlwortnachricht KB AN enthall, an den ersten Proxy-Agenten PAl gesendet. Hierzu ist in der zwei- 
25 ten Computereinheit C2 ein fiinfzehnles Mittel 118 zum Empfangen der Abrufnachricht ABN und zur Codierung der in 
der Abrufnachricht ABN angeforderten kryplographisch bearbeitelen Anlwortnachricht KBAN enlsprechend dem Co- 
dierungsformat des SNMPvl-Protokolls, d. h. zur Codierung des angeforderten Get-Response vorgesehen. 

Die codierte kryplographisch bearbeitete Anlwortnachricht wird von dem zweiten Proxy-Agenten PA2 zu dem ersten 
Proxy-Agenten PAl ubertragen. 
30 In einem weiteren Schritt 119 vArd in dem ersten Proxy-Agenten PAl die codierte kryptogr^phisch bearbeitete Ant- 
wortnachricht, enthallen in der standardkonformen Get-Response, empfangen. Hierfur ist ein sechzehntes Mittel 119 
zum Empfangen der Get-Response in der ersten Computereinheit CI vorgesehen. 

In einem weiteren Schriti 120 wird der Get-Request decodiert, d. h. enlkapselt und der ursprtinglich von dem Agenten 
AG der zweilen Computereinheit C2 gebildele Get-Response zu der Managerappiikation MA der erslen Computerein- 
heit CI gesendet. Hierfur ist ein siebzehntes Mitiel 120 vorgesehen zum Decodieren der Get-Response und zum Senden 
der ursprunglichen, in der Get-Response enthaltenen Get-Response, die die angeforderte Information enthalt, zu der Ma- 
nagerappiikation MA. 

In einem lelzten Schriti 121 wird die Get-Response von der Managerappiikation MA empfangen und der angeforderte 
Wert ausgewertel und abgespeichert. Hierfur isl ein achtzehntes Mittel 121 zum Empfangen und Auswerten von Ma- 
40 nagementinformation in der Managerappiikation MA vorgesehen. 

Auf diese Weise wird erreicht, daB ohne groBen Mehraufwand und ohne das Verfahren des SNMPvl-Protokolls an- 
dern zu miissen, eine kryptographische Sicherung der Kommunikation raoglich wird. 
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Get-Next-Request 

Fur einen Get-Next-Request, der ebenfaUs im Rahmen des SNMPvl-Protokolls vorgesehen ist, wird das Verfahren auf 
die gleiche Weise, wie fur den Get-Requesl beschrieben, durchgefiihrt, lediglich mit einem veranderten, entsprechend 
angepaBten Object-Identifier fur den angeforderten Wert des jeweiligen Managed Objects. 

50 Set-Request 

In Fig. 2 ist das Verfahren fur einen Sel-Requesi als codierte digitale Nachricht CN dargestellt. Zur einfacheren Erlau- 
terung wird lediglich das Verfahren im weiteren beschrieben, die Mittel sind enlsprechend ausgestaltet, daB die einzelnen 
Verfahrensschritte mil den Computereinheiten CI, C2 durchgefuhrt werden konnen. 
55 In einem ersten Schritt 201 v/ird der Set- Request, d. h. die digitale Nachricht codiert. 

In einem zweilen Schritt 202 wird von dem Manager MA der ersten Computereinheit der Set-Request, d, h. die co- 
dierte Nachricht CN zu dem ersten Proxy-Agenten PAl gesendet. 

In einem dritten Schritt 203 wird die codierte Nachricht CN von dem ersten Proxy-Agenten PAl empfangen. 
In einem vierten Schritt 204 wird ein kryptographisches Verfahren auf die codierte Nachricht CN angewendet. Das Er- 
60 gebnis der kryptographischen Bearbeitung ist eine kryplographisch bearbeitete Nachricht KBN. 

^ In einem fiinften Schriti 205 wird die kryplographisch bearbeitete Nachricht KBN wiederum unter Verwendung des 
Codierungsformats des SNMPvl-Protokolls codiert zu einer codierten kryplographisch bearbeitelen Nachricht CKN. 
Hierfur wird wiederum ein Set-Request verwendet. 

Der Set-Request wird von dem ersten Proxy-Agenten PAl zu dem zweiten Proxy-Agenten PA2 gesendet (Schritt 206), 
65 In einem siebten Schritt 207 wird von dem zweiten Proxy-Agenten PA2 der Set-Request empfangen. 

Als Reaktion auf den Empfang des Set-Requests sendet standardkonform der zweite Proxv-Agent PA2 eine Get-Re- 
sponse, die als Bestaligung den Fehlerzustand enthall (Schritt 208). 

In einem weiteren Schritt 209 wird die codierte kryplographisch bearbeitete Nachricht decodiert, d. h. ausgepackt. Das 
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Ergebnis isl die decodierte krypioj 



h bearbeitete Nachrichl DKN. 



In einem zehnten Schnti 210 wird jeweils das zu dem verwendeien kryptographischen Vferfahren inverse kryptogra- 
phische Verfahren auf die kryplographisch bearbeiiele Nachrichl DKN angewendet Femer wiid die invers kryplogra- 
phisch bearbeiiele Nachrichl IKN. d. h. der urspriingliche Sel-Request von dem zweiten Proxy-Agenlen PA2 zu dem 
Agenlen AG der zweilen Compulereinheit C2 gesendel. 

In einem elften Schrill 211 wird von dem Agenlen AG die decodierte kryplographisch bearbeiiele Nachrichl empfan- 
gen und in einem weileren Schrill 212 die in dem Sel-Requesl angegebene Akiion durchgefuhrt. 

Als Reaklion sendel der Agenl AG der zweilen Corapuiereinheil C2 slandardkonform die Anlwortnachricht AN in 
Form eines Gel- Response zu dem zweilen Proxy-Agenlen PA2 (Schrill 213). 

In einem vierzehnlen Schrill 214 empfangl der zweite Proxy- Agenl PA2 die Antworlnachricht AN 
In einem fiinfzehnlen Schnli 215 wird wiederum auf die Anlwortnachricht AN nnindestens ein vorgebbares kryplogra- 
phisches Verfahren angewendet. 

Die weileren Verfahrensschrilte 216, 217, 218, 219, 220 sowie 221 entsprechen den in Zusammenhang mil einem Gel- 
Request beschriebenen Verfahren, den Verfahrensschritlen 116, 117, 118, 119, 120 sowie 121. 

Die Sicherheits-MTB enthalt Eintrage, die in ihrer Slrukiur die ubhche Syntax zur Beschreibung von Mananged-Ob- 
jecls verwendel. EinU-agen in der Sicherheits-M3B werden eindeutige Object-Identifiers zugeordnet, die zur eindeutigen 
Identifizierung der Eintrage in der Sicherheils-MEB verwendel werden. Die Object-Identifiers werden in der globalen 
SNMP-MLB regislriert. Damit wird erreicht, daB der Zweck und die Syntax des jeweiligen Managed-Objects bekannl isl. 
Die verschiedenen Eintrage der Sicherheits-MTB konnen beispielsweise entweder digital unterzeichnete, integritatsge- 
schiitzle, Oder ver^chliisseUe Managementinformation enthalten. Selbslverstandlich konnen beliebige Kombinationen 
der oben beschriebenen Mechanismen in der Sicherheils-MEB eingetragen sein und somit im Rahmen des Verfahrens be- 
rucksichligl werden. 

Im weileren wird eine mogliche Beispiel-Syntax in ASN.l (Abstract Syntax Notation One) einer solchen Sicherheiis- 
MIB dargestelll. 

Die Syntax eines sicheren, eingekapsellen Managed-Objects isl OCTET STRING. Der Aufbau eines solchen einge- 
kapselten Managed-Objects isl wie folgt: 
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SecureMO : : = 

SEQUENCE { 

PlainHeader , 
EncapsulatedData 

} ■ " . 

PlainHeader :;= 
SEQUENCE { 

SecurityAssociationID, 
UsedAlgorithms , 
AlgorithmParameters 

} 

EncapsulatedData : := OCTET STRING 

signed, encrypted, or integrity protected 
-- ASN. 1- encoded data 

SecurityAssociationID : := OBJECT IDENTIFIER 

UsedAlgorithms INTEGER (0..7) 

value 0 stands for „no security^' 

-- value 1 stands for „ signed'^ 

value 2 stands for „ integrity protected'' 

value 3 stands for „ signed'' and „ integrity protected" 

value 4 stands for „ encrypted" 

-- value 5 stands for „ signed" and „ encrypted" 

value 6 stands for „ integrity protected" and 
„ encrypted" 

value 7 stands for „ signed", „ integrity protected" 
and „encrypted" 

AlgorithmParameters : := 

necessary parameters for the particular 
algorithms in use 

Der Wert des Parameters UsedAlgorithms wird nach dem folgenden Schema gebildet. Er kann als Bit-String der 
Lange 3 Bit reprasenlierl warden, wobei das Bit niedrigster Wertigkeit die Verwendung digitaler Signatur ("signed") an- 
zeigt. das Bit mit zweitniedrigster Wertigkeit beispielsweise anzeigt, ob Mechanismen zur Sicherung der Datenintegrilat 
vorgesehen stnd ("integrity protected"), und das Bit mit der hochsten Wertigkeit beschreibt, ob die Daten verschlusselt 
wurden ("encrypted"). 

Somit kann das Ergebnis jeder kryptographischen Bearbeitung einer Nachricht als ein Bit-String mit der Lange 3 be- 
schrieben werden. Die kiyptographisch bearbeiteie Nachricht wird als OCTET STRING codiert. Besteht sie aus einer 
nicht durch 8 teilbaren Anzahl von Bits, so kann sie jedoch durch Anwendung eines sog. Paddings, d. h. durch Auffullen 
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von Bits ohne semantische Bedeut^^^u einem OCTET STRING erweilert werden. 
Diese Situation isl beispielhafl in einem Ablaufdiagramm in Fig. 3 dargestellt. 

Ein SNMPvl -Request SR wird gemaB den Vorschriften zur Codierung des jeweiligen Netzprolokolls in ASN.l (Co- 
dierungsregeln, Synlaxdefinition. ER) codierl 301. Der codierte SNMP-Requesl CSR» d. h. die codierte Nachrichl CN 
wird in einem zweiten Schrilt 302 dem jeweiligen kryptographischen Verfahren unterzogen. Hierbei werden beispiels- 5 
weise kryptographische Schlussel, Parameter zur Angabe des venvendeten Algorithmus, sowie zusatzliche Information, 
allgemein kryptographische Information VI, zur Durchfuhrung des jeweiligen kryptographischen Verfahrens verwendet. 

per sich ergebende Bit-String BS wird beispielsweise durch Auffiillen von FuUbits in einem Schritt 303 zu einem OC- 
TET STRING OS konvertiert, z. B. unter Verwendung von Padding PA. 

Die abstrakte Vorgehensweise zur inversen kryptographischen Bearbeilung wird entsprechend umgekehrt durchge- 10 
rohrt. 

Es isl vorleiLhaft, existierende Funktionen zur Sichemng der Kommunikalion ira Rahmen von SNMPvl dort anzuwen- 
den, wo es moglich ist und diese Sicherheitsfunktionen mit weileren kryptographischen Verfahren zu verstarken, wo es 
notig ist. 

So ist es vorteilhaft, das Konzept von Community-Strings in SNMPvl auch im Rahmen dieses Verfahrens zu ver^^'en- 15 
den. Im Rahmen des Konzepls einer Community werden Gruppen definiert und den einzebien Gruppen Zugriflfsrechte 
fur die jeweiligen Mitglieder der Gruppe zugeordnet. Eine Conmiunity und die der Community zugeordneien ZugrifiFs- 
rechte sind Teil einer Konfiguration eines SNMPvl -Agenten. Es ist vorteilhaft, jeweils Communities mit spezifischen Si- 
cherheitsmechanismen zu assoziieren. So ist es beispielsweise moglich. einer Community unterschiedliche kryptogra- 
phische Algrorithmen, kryptographische Schlussel und entsprechende Parameter, die im Rahmen des kryptographischen 20 
Verfahren jeweils verwendet werden, Mitgliedem der Community zuzuordnen. 

Standardkon forme Object-Identifier werden vorzugsweise als Angaben verwendet, welche in kryptographischen Ver- 
fahren verwendet werden sollen. 

Bei der Sicherheitskonfiguration wird vorzugsweise ansleUe von kryptographischen Schlusseln Object-Identifier auf- 
gespeichene kryptographische Schlussel verwendet, die ira weiteren als Schliissel-Identifier bezeichnet werden. Durch 25 
diese Vorgehensweise wird das jeweilige Schlusselmaterial besser gesichert. 

Weiterhin kann das jeweilige Schlusselmaterial dadurch starker geschutzt werden. daB beispielsweise die Dateien, in 
denen die kryptographischen Schlussel gehalten werden, verschlusselt werden oder spezielle Hardwareeinheiten zum 
SchuLz der kryptographischen Schlussel voigesehen sind, beispielsweise Chipkarten. 

Die jeweils zu verwendenden Realisierungsdetails ergeben sich aus der SicherheitspoUtik, die entsprechend der An- 30 
wendung stark variieren kann. 

Authentifikation des Datenursprungs 

Urn den Sicherheitsdiensl der Authentifikation der Ursprungsdaten zu erreichen kann beispielsweise folgende Infor- 35 
malion in der kryptographisch bearbeileten Nachricht vorgesehen sein (vgl. Fig. 4). 

Der SNMPvl -Request, d. h. die codierte Nachricht CN, wird durch die kryptographische Bearbeitung mit folgenden 
Header- bzw. Trailer-Informationen umkapselt, wodurch die kryptographisch bearbeitele Nachricht KBN entsteht. 

Ein Authentifikations-Header AH enthalt einen Schlussel-Identifier KID, mit dem der jeweils zu verwendende kryp- 
tographische Schlussel angegeben ist uber einen Object-Identifier, einen Algorithm-Identifier AID. mit dem der jeweils 40 
zu verwendende kryptographische Algorithmus zur Authentifikation angegeben ist, Algorilhmus-Parameter AP, mit de- 
nen angegeben wird, welche Parameter ira Rahmen der Authentifikation verwendet werden, ein Zeitstempel TS sowie 
eine Zufallszahl RN. 

Femer ist als Trailerinformation TI eine digitale Signatur DS vorgesehen. Als Algorithmus zur Authentifikation kann 
beispielsweise das asymmetrische RSA- Verfahren eingesetzl werden. 45 

Zugriffskontrolle fur Managementinformation 
Die SNMPvl -Zugriffskontrolle basiert auf zwei Mechanismen. 

Erslens wird jedem Managed-Object in einer MIB ein Zugriffskontrollwert zugeordnet, der einen der drei folgenden 50 
Werte aufweist: 

- Read-Only, 

- Read- Write, 

- Write-Only, 55 

- Not-Accessable. 

Zweilens wird jeder Community in dera SNMPvl -Agentenkonfiguraiion ein sog. MEB-View zusammen mit den je- 
weiligen Zugriffsrechten zugeordnet. Ein MIB- View enthalt eine vorgebbare Anzahl von Object-Identifiem, die die je- 
weiligen Unterbaurae oder sog. Blatter des SNMP-Registratur-Baums bezeichnet. 60 

Die jeweiligen Zugriffsrechte weisen einen der folgenden Werte auf: 

- Read-Only, 

- Write-Only, 

- Read- Write, 65 

- None. 
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Sicherung der Daleninlegritat eines SNMP-Re^Ssls 

Zur Sicherung der Datenintegrilal wird ein Mechanismus zur kryplographischen Sicherung der Daleninlegritat einge- 
seut. Hierfur werden Daleninlegritatsprufsummen uber den gesamten SNMPvl -Request cxier einen Teil davon gebildet 
Dies kann beispielsweise mittels des DES im sog. Cipher-Block-Chaining-Mode (CBC-Modus) erfolgen. Fur diesen 
spezielien Mechanismus isl die Verwendung eines 64 Bit langen Inititalisierungswerts erforderlich, der jeder Parlei der 
jeweihgen Sicherheilsgruppe bekannl sein muB. Der Intitialisierungswert isl Teil der Algorithmusparameter AP, die in 
der Header- Information HI der kryptographisch bearbeiteten Nachricht KBN verwendel wird (vgl. Fig. 5). Femer weist 
die Header- Information HI einen Schlussel-Identifier KID sowie einen Algorithmus-Identifier AID auf, der^n Funktio- 
nalilat gleich ist wie bei der Authentifikation. 

Femer ist in einer Trailer- Information TI ein Integritatsprufwerl ICV vorgesehen. 

Verschlusselung von SNMPvl -Requests 

Venraulichkeit der ubertxagenen SNMPvl -Daten kann auf ahnliche Weise erfolgen, wie die Sicherung der Dateninte- 
grilal. Zur Verschlusselung kann beispielsweise wiederum das DES-Verfahren im CBC-Modus verwendet werden. In 
diesem Fall ist wiederum ein Initialisierungswert als Algorithmusparameter AP und einer Header-Information HI der 
kryptographisch bearbeiteten Nachricht KBN erforderlich (vgL Fig. 6). 

Wiederum ist in der Header-Information HI ein Schlussel-Identifier KID sowie ein Algorithmus-Identifier AID mil 
oben beschriebener Funktionalitat vorgesehen. 

Weiterhin konnen Mechanismen zur Protokollierung der Kommunikation sowie zur Alarmgebung bei Auffinden von 
Angrififsversuchen vorgesehen sein. 

Das Verfahren und das Coraputersystem konnen sehr voneilhaft im Rahmen eines Szenarios verwendet werden, bei 
dem ein Anbieter eines Kommunikationsnetzes Bandbreite des Kommunikationsnetzes einem Dienstanbieter zur Verfii- 
gung stellt, der Dritten zusaizliche Dienste zur Verfiigung stelll, die das Kommunikationsnetz als solche nicht vorsieht. In 
diesem Zusammenhang kann das Verfahren sowie das Computersystem vorteilhaft beispielsweise zur Kontrolle oder 
auch zur Abrechnung der von dem Anbieter des gesamten Kommunikationsnetzes zur Verfiigung geslellten Resourcen 
dienen. In diesem Fall wird der Manager auf einem Computer des Anbieters des gesamten Kommunikationsnetzes rea- 
lisierl sein und ein Agent jeweils bei dem Anbieter zusatzlicher Dienste. 

In einer Varianle des oben beschriebenen Ausfiihrungsbeispiels ist es vorgesehen, die Antwortnachricht direkt, ohne 
Warten auf eine Abrufnachricht, zu codieren und an die erste Computereinheil zu senden. Somil sind folgende Schritle in 
der zweiten Computereinheil nicht erforderlich: 

- die Codierung einer Abrufnachricht entsprechend dem Codierungsformat des Netzwerkprotokolls in der ersten 
Computereinheil, rait der die kryptographisch bearbeitete Antwortnachricht von der zweiten Computereinheil an- 
gefordert wird, 

- die Ubertragung der Abrufnachricht von der ersten Computereinheil zu der zweiten Computereinheil, sowie 

- das Empfangen der Abrufnachricht. 

Entsprechendes gilt fiir das Computersystem. 

Anschaulich kann das Verfahren derart beschrieben werden, daB zu dem standardkonformen Netzwerkprotokoll z. B. 
dem SNMPvl -ProlokoU auf den jeweiligen SNMP-Request oder auch CWP-Request, ein kryptographisches Verfahren 
angewendet wird, mit dem eine kryptographische Sicherung des SNMP-Requesls bzw. dem CMIP-Request erreicht 
wird. Um jedoch die Verwendung standardkonformer SNMP- Verfahren zu ermoglichen, wird die kryptographisch bear- 
beitete Nachricht wiederum mil dem jeweiligen Codierungsformat des Netzwerkprotokolls codiert Dies entspricht einer 
"doppelten" Anwendung des jeweiligen Netzwerkprotokolls auf die zu codierende Nachricht. 

Palentanspriiche 

1 . Verfahren zur Codierung einer digitalen Nachricht unter Verwendung eines Codierungsformats eines Netzwerk- 
protokolls, 

- bei dem die Nachricht unter Verwendung, des Codierungsformats des Netzwerkprotokolls zu einer codierten 
Nachricht codiert wird, 

- bei dem die codierte Nachricht mindesiens einem kryplographischen Verfahren unterzogen wird, und 

- bei dem die kryptographisch bearbeitete Nachricht unter Verwendung des Codierungsformats des Netz- 
werkprotokolls codiert wird. 

2. Verfahren zur Decodierung einer digitalen Nachricht, welches in einem Codierungsformat eines Netzwerkproto- 
kolls vorliegt, 

- bei dem die Nachricht entsprechend dem Codierungsformat des Netzwerkprotokolls decodiert wird, 

- bei dem die decodierle kryptographisch bearbeitete Nachricht einem zu dem mindesiens einen kryplographi- 
schen Verfahren inversen kryplographischen Verfahren unterzogen wird, und 

- bei dem die invers kryptographisch bearbeitete Nachricht entsprechend dem Codierungsformat des Netz- 
werkprotokolls decodiert wird, 

3. Verfahren zur Codierung einer digitalen Nachricht, zur Ubertragung der Nachricht von einer ersten Computer- 
einheit zu einer zweiten Computereinheil und zur Decodierung der Nachricht, 

- bei dem in der ersten Computereinheit folgende Schritle durchgefuhrl werden: 

- die Nachricht wird unter Verwendung eines Codierungsformats eines Netzwerkprotokolls zu einer co- 
dierten Nachricht codiert. 
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- die codierte Nacl^^Bwird mindeslens einem kryplographischen Ve^^^h wird, 

- die Itryptographisc^bearbeitete Nachricht wird unter Verwendung des Codierungsfomiats des Nelz- 
werkprolokolls codiert, 

- bei dem die codierte kryplographisch bearbeilete Nachricht von der erslen Computereinheii zu der zweilen 
Compuiereinheil ubeitragen wird, 

- bei dem in der zweilen Computereinheii folgende Schritte durchgefuhrt werden: 

- die empfangene Nachricht wird entsprechend dem Codierungsformat des Netzwerkprotokolls deco- 
diert, 

- die decodierte kryplographisch bearbeilete Nachricht wird einem zu dem mindeslens einen kryplographi- 
schen Verfahren inversen kryplographischen Verfahren unlerzogen, und 

- die in vers kryplographisch bearbeilete Nachricht wird entsprechend dem Codierungsformat des Netzwerk- 
protokolls zu der digitalen Nachricht decodiert. 

4. Verfahren nach Anspruch 3, 

- bei dem die digitale Nachricht eine Anfrage zur Ausfiihrung einer vorgebbaren Aktion enlhall, 

- bei dem in der zweilen Computereinheii die angeforderte Aktion ausgefuhrt wird, und 

- bei dem in der zweilen Computereinheii das Ergebnis der Aktion in einer Antwortnachricht zu der erslen 
Computereinheii gesendet wird. 

5. Verfahren nach Anspruch 3, 

- bei dem die digitale Nachricht eine Anfrage zur Ausfiihrung einer vorgebbaren Aktion enlhall, 

- bei dem in der zweilen Computereinheii die angeforderte Aktion ausgefuhrt wird, 

- bei dem in der zweilen Computereinheii eine Antwortnachricht gebildet wird, die ein Ergebnis der Aktion 
enthalt, 

- bei dem in der zweilen Computereinheii die Antwortnachricht entsprechend dem Codierungsformat des 
Netzwerkprotokolls codiert wird, 

- bei dem in der zweilen Computereinheii die Antwortnachricht mindeslens einem kryplographischen Verfah- 
ren unlerzogen wird, 

- bei dem in der zweilen Computereinheii die kryplographisch bearbeilete Antwortnachricht gespeichert wird, 

- bei dem in der erslen Computereinheii eine Abrufnachrichi entsprechend dem Codierungsformat des Netz- 
werkprotokolls codiert wird, mil der die kryplographisch bearbeilete Antwortnachricht von der zweilen Com- 
putereinheii angefordert wird, 

- bei dem die Abrufnachrichi von der erslen Computereinheii zu der zweilen Computereinheii iibertragen 
wird, 

- bei dem die Abrufnachrichi von der zweilen Computereinheii empfangen wird, 

- bei dem die kryplographisch bearbeilete Antwortnachricht entsprechend dem Codierungsformat des Netz- 
werkprotokolls codiert wird, und 

- bei dem die codierte kryplographisch bearbeilete Antwortnachricht von der zweilen Computereinheii zu der 
ersten Computereinheii iibertragen wird. 

6- Verfahren nach Anspruch 3, 

- bei dem die digitale Nachricht eine Anfrage zur Ausfiihrung einer vorgebbaren Aktion enthalt, 

- bei dem in der zweilen Computerdnheii die angeforderte Aktion ausgefuhrt wird, 

- bei dem in der zweilen Computereinheii eine Antwortnachricht gebildei wird, die ein Ergebnis der Aktion 
enlhall, 

- bei dem in der zweiten Computereinheii die Antwortnachricht entsprechend dem Codierungsformat des 
Netzwerkprotokolls codiert wird, 

- bei dem in der zweiten Computereinheii die Antwortnachricht mindeslens einem kryplographischen Verfah- 
ren unlerzogen wird, 

- bei dem die kryplographisch bearbeilete Antwortnachricht entsprechend dem Codierungsformat des Netz- 
werkprotokolls codiert wird, und 

- bei dem die codierte kryplographisch bearbeilete Antwortnachricht von der zweilen Computereinheii zu der 
erslen Computereinheii ubertragen wird. 

7. Verfahren nach einem der Anspriiche 2 bis 6, bei dem in der zweilen Computereinheii die kryplographisch bear- 
beilete Antwortnachricht in einer Management Information Base (MTB) gespeichert wird. 

8. Verfahren nach einem der Anspriiche 1 bis 4, bei dem als Nelzwerkprotokoll das Simple Network Management 
Protocol Version 1 (SNMPvl) verwendet wird. 

9. Verfahren nach Anspruch 8, 

- bei dem in der ersten Computereinheii bei der Codierung der kryplographisch bearbeiteten Nachricht ein 
Set-Request gebildei wird, und 

- bei dem der Set-Request von der ersten Computereinheii zu der zweilen Computereinheii ubertragen wird. 

10. Verfahren nach Anspruch 8 oder 9, 

- bei dem als Abrufnachrichi ein Get-Request verwendet wird, 

- bei dem bei der Codierung der angeforderten kryplographisch bearbeiteten Antwortnachricht ein Gel-Re- 
sponse gebildet wird. 

11. Verfahren nach einem der Anspriiche 4 bis 10. bei dem als Aktion eine Inform ationsabfr age und/oder eine In- 
formationsangabe der zweiten Computereinheii ubertragen wird. 

12. Vorrichtung mil mindeslens einer Recheneinheii, die derart eingerichlet ist, dafi das \ferfahren nach einem der 
Anspriiche 1 bis 11 durchfiihrbar isL 

13. Vorrichtung zur Codierung einer digitalen Nachricht unter Verwendung eines Codierungsformats eines Nelz- 
werkproiokolls, das mindeslens folgende Komponenien umfaSt: 
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- ein ersles MillWur Codierung der digilalen Nachricht unler Verw^Sng des Codierungsformals des Neiz- 
werkproiokolls zu einer codierten Nachricht 

- ein zweiles Mittel zur kryplographischen Bearbeitung der codierten Nachricht, 

- ein driltes Mittel zur Codierung der kryplographisch bearbeilelen Nachricht unter Verwendung des Codie- 
rungsformats des Netzwerkprotokolls. 

14. Vorrichlung zur Decodierung einer digitalen Nachricht, welches in einera Codierungsformat eines Netzwerk- 
protokolls vorliegt, das mindestens folgende Komponenten umfafit: 

- ein fiinftes Mittel zum Empfangen der codierten kryplographisch bearbeiteten Nachricht von der ersten 
Computereinheit, 

- ein sechstes Mittel zur Decodierung der empfangenen Nachricht entsprechend dem Codierungsformat 
des Netzwerkprotokolls, 

- ein siebtes Mittel zur inversen kryplographischen Bearbeitung der decodierten kryplographisch bear- 
beiteten Nachricht, und 

- ein achtes Mittel zur Decodierung der invers kryplographisch bearbeiteten Nachricht entsprechend 
dem Codierungsformat des Netzwerkprotokolls. 

15. Vorrichlung zur Codierung einer digitalen Nachricht, zur Ubertragung der Nachricht von einer ersten Compu- 
tereinheit zu einer zweiten Computereinheit und zur Decodierung der Nachricht, 

- bei dem eine erste Computereinheit vorgesehen ist, die mindestens folgende Komponenten umfaBt: 

- ein erstes Mittel zur Codierung der digitalen Nachricht unter Verwendung eines Codierungsformals ei- 
nes Netzwerkprotokolls zu einer codierten Nachricht, 

- ein zweites Mittel zur kryplographischen Bearbeitung der codierten Nachricht, 

- ein drittes Mittel zur Codierung der kryplographisch bearbeiteten Nachricht unter Verwendung des Co- 
dierungsformats des Netzwerkprotokolls, 

- ein viertes Mittel zum Senden der codierten kryplographisch bearbeiteten Nachricht von der ersten 
Computereinheit zu der zweiten Computereinheit, 

- bei dem eine zweite Computereinheit vorgesehen ist, die mindestens folgende Komponenten umfaBt: 

- ein fiinftes Mittel zum Empfangen der codierten kryplographisch bearbeilelen Nachricht von der ersten 
Computereinheit, 

- ein sechstes Mittel zur Decodierung der empfangenen Nachricht entsprechend dem Codierungsformat 
des Netzwerkprotokolls, 

- ein siebtes Mittel zur inversen kryplographischen Bearbeitung der decodierten kryplographisch bear- 
beiteten Nachricht, und 

- ein achtes Mittel zur Decodierung der invers kryplographisch bearbeiteten Nachricht entsprechend 
dem Codierungsformat des Netzwerkprotokolls. 

16. Vorrichlung nach Anspruch 13 oder 15, bei dem als drittes Mittel das erste Mittel vorgesehen ist. 

17. Vorrichlung nach Anspruch 14 oder 15, bei dem als achtes Mittel das sechsle Mittel vorgesehen ist. 

18. Vorrichlung nach einem der Anspruche 15 bis 17, 

- bei dem die digitale Nachricht eine Anfrage zur Ausfiihrung einer vorgebbaren Aktion enlhalt, 

- bei dem in der zweiten Computereinheit ein neuntes Mittel zur DurchfLihrung der angeforderten Aktion vor- 
gesehen ist, und 

- bei dem in der zweiten Computereinheit ein zehntes Mitiel zum Senden des Eigebnisses der Aktion zu der 
ersten Computereinheit vorgesehen ist. 

19. Vorrichlung nach einem der Anspruche 15 bis 18, 

~ bei dem die digitale Nachricht eine Anfrage zur Ausfuhrung einer vorgebbaren Aktion enlhalt, 

- bei dem in der zweiten Computereinheit ein neuntes Mittel zur Durchfuhrung der angeforderten Aktion vor- 
gesehen ist, 

- bei dem in der zweiten Computereinheit ein elftes Mittel zur Bildung einer Anlwortnachricht, die ein Ergeb- 
nis der Aktion enthall, vorgesehen ist, 

- bei dem in der zweiten Computereinheit ein zwolftes Mittel zur Codierung Antwortnachricht entsprechend 
dem Codierungsformat des Netzwerkprotokolls, 

- bei dem in der zweiten Computereinheit ein dreizehntes Mittel zur Bearbeitung der Antwortnachricht mit 
mindestens einem kryplographischen Verfahren vorgesehen ist, 

- bei dem in der zweiten Computereinheit ein vierzehntes Mittel zur Speicherung der kryplographisch bear- 
beiteten Antwortnachricht vorgesehen ist, 

- bei dem in der ersten Computereinheit ein flinfzehntes Mittel zur Bildung und Codierung einer Abrufnach- 
richt entsprechend dem Codierungsformat des Netzwerkprotokolls, mit der die kryplographisch bearbeitele 
Antwortnachricht von der zweiten Computereinheit angefordert wird, vorgesehen ist, 

~ bei dem in der erslen Computereinheit ein sechzehntes Mittel zum Senden der Abrufnachricht von der ersten 
Computereinheit zu der zweiten Computereinheit, vorgesehen ist, 

- bei dem in der zweiten Computereinheit ein siebzehntes Mittel zum Empfangen der Abrufnachricht vorge- 
sehen ist, 

- bei dem in der zweiten Computereinheit ein achtzehnles Mittel zur Codierung der in der Abrufnachricht an- 
geforderten kryplographisch bearbeiteten Antwortnachricht entsprechend dem Codierungsformat des Nelz- 
werkprolokolls, vorgesehen ist, und 

- bei dem in der zweiten Computereinheit ein neunzehntes Mittel zum Senden der codierten kryplographisch 
bearbeiteten Antwortnachricht von der zweiten Computereinheit zu der ersten Computereinheit, voreesehen 
ist. 

20. Vorrichlung nach einem der Anspriiche 15 bis 18, 
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- bei dem die digiiale N^PRit eine Anfrage zur Ausfiihrung einer voi^ebbSBI^ktion enthalt, 

- bei dem in der zweiten Compulereinheil ein neunles Millel zur Durchfiihrung der angeforderten Akrion vor- 
gesehen ist, 

- bei dem in der zweiten Compute reinheit ein elftes Mitlel zur Bildung einer Anlwortnachricht, die ein Ergeb- 

nis der Aktion enthalt, vorgesehen isl, 5 

- bei dem in der zweiten Computereinheii ein zwolftes Mitlel zur Codierung Antworlnachricht enlsprechend 
dem Codierungsformat des NelzwerkprotokoUs, 

- bei dera in der zweiten Computereinheii ein dreizehntes Millel zur Bearbeilung der Anlwortnachricht mil 
mindeslens einem kryptographischen Verfahren vorgesehen ist, 

- bei dem in der zweiten Computereinheii ein achtzehnles Millel zur Codierung der kryptographisch bearbei- lo 
telen Anlwortnachricht enlsprechend dem Codierungsforrnal des NelzwerkprotokoUs, vorgesehen isl, und 

- bei dem in der zweiten Computereinheii ein neunzehnles Millet zum Senden der codierten kryptographisch 
bearbeilelen Anlwortnachricht von der zweiten Computereinheii zu der erslen Computereinheii, vorgesehen 
isl. 

21 . Vorrichtung nach Anspruch 19 oder 20, bei dem das vierzehnle Millel derart ausgeslallel ist^daB die kryplogra- is 
phisch bearbeiiete Anlwortnachricht in einer Management Information Base (MIB) gespeichert wird. 

22. Vorrichtung nach einem der Anspruche 13 bis 21, das deran ausgeslallel isL, daB als Netzwerkproiokoll das 
Simple Network Management Protocol Version 1 (SNMPvl) verwendet wird. 

23. Vorrichtung nach Anspruch 13 oder 15, 

- das derarl ausgeslallel isU daB als Netzwerkproiokoll das Simple Network Management Protocol Version 1 20 
(SNMPvl) verwendet wird, und 

- bei dem das dritte Mitlel zur Codierung der kryptographisch bearbeilelen Nachrichl derart ausgeslallel ist, 
daB bei der Codierung der kryptographisch bearbeilelen Nachricht ein Set-Request gebildet wild. 

24. Vorrichtung nach Anspruch 22, 

- bei dem das funfzehnte Mittel zur Bildung und Codierung der Abrufnachricht derart ausgeslallel ist, daB ein 25 
Gel-Request gebildet wird, 

- bei dem das achlzehnle Millel zur Codierung der in der Abrufnachricht angeforderten kryptographisch be- 
arbeilelen Anlwortnachricht derart ausgeslallel ist, daB ein Gel-Response gebildet wird. 

25. Vorrichtung nach einem der Anspruche 15 bis 24, bei dem als Aktion eine Informationsabfrage und/oder eine 
Informaiionsangabe der zweiten Computereinheii voi^gesehen ist. 30 

26. Vorrichtung nach einem der Anspruche 12 bis 25, 

bei dem das zweite Mittel, das dritte Mittel und das vierte Millel zusammen als ein ersler Proxy Agent ausgeslallel 
sind, und/oder 

bei dem das fiinfte Millel, das sechste Mittel und das sieble Mitlel zusammen als ein zweiler Proxy Agent ausgeslal- 
lel sind. 35 

27. Kommunikationssyslem mil einem Managers eines Kommunikationsnetzes und eines Zwischen managers eines 
Kommunikationsnetzes, der das Komraunikalionsnelz verwendet und weilere Dienste, die iiber die von dera Kom- 
munikationsneiz angebotenen Dienste hinausgehen, Kunden anbietel mil einem Compulersystem nach einem der 
Anspruche 13 bis 26. 
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